Есть три аспекта за которыми стоит пристально наблюдать, если мы говорим об информационной безопасности — ИТ-инфраструктура, данные в ней и люди, с этим работающие. 

Вот что мы сделали в 2025 году для того, чтобы лучше понимать данные и людей  в компаниях и организациях.

Мы добавили в нашу DLP-систему функцию кластеризации данных. С ее помощью документы индексируются и объединяются в группы с высокой скоростью и точностью при низком потреблении ресурсов. Этот способ позволяет выявлять в трафике и местах хранения тематики документов, которые нужно защищать, а еще выделять сообщества людей по темам их общения, отслеживать появление новых тем для разговоров и исчезновение старых.

Выглядит это примерно так: перед вами стоит задача разобраться с целой кучей документов, которые скопились на сервере, и выяснить, нет ли там конфиденциальной информации, которая еще не покрыта политиками, или документов, требующих ужесточения прав доступа. Ощущение такое, будто на стол вывалили тысячи документов, и их нужно один за другим просмотреть и как-то рассортировать — коммерческие предложения в одну стопку, договоры — в другую, прайс-листы — в третью и так далее. Наша кластеризация — это когда за вас не просто сортируют документы по их назначению в разные папки, но и наклеивают на каждую папку цветной стикер с ключевыми терминами.

Продукт не требует обучения, не содержит никаких словарей и предустановленных настроек, он обучается именно на данных компании. Если вы, например, просканировали файловый сервер, все документы будут проанализированы,  ключевые термины извлечены, а документы с одинаковой терминологией объединены в кластер. Для каждого кластера будут выделены ключевые тэги и составлено облако тэгов, с помощью которых можно фильтровать кластера. 

С помощью этого решения можно систематизировать информационные потоки компаний, исчисляемые миллионными событий ежедневно, снижать риски скрытых угроз, и проводить расследование в десятки раз быстрее. Технология применима и для других сфер, например, для библиометрии, систематизации научных статей, исследования новостных трендов.

Помимо этого, мы продолжаем активно продвигать подход, который в корне меняет парадигму работы DLP-систем с анализа контента в сторону анализа контекста — развиваем это направление с 2023 года, постоянно добавляем полезные возможности и предлагаем рынку новый опыт в защите данных. 

Например, благодаря продвинутым технологиям анализа контекста, в котором фигурируют те или иные данные, наша система научилась определять ценность той или иной порции данных, владельцев и статусы документов, роли контрагентов и другие признаки, исходя из бизнес-процессов, и на основании этого принимать решение о передаче или блокировке данных. Как это возможно и откуда берется этот самый контекст? Решение «забирает» контекст оттуда, где он отражен в корпоративных информационных системах (КИС) – ABS, ERP, CRM и других, в зависимости от специфики бизнеса. 

Одним из кейсов этого внедрения стала производственная компания, которая хотела защитить данные своих сотрудников - полисы ДМС, трудовые договоры, зарплатные листы и другие. При этом было важно, чтобы в массовых почтовых рассылках документы получали только сотрудники которым они были адресованы, а любые ошибки и попытки отправить документ постороннему лицу были заблокированы. Интеграция с ERP-системой позволила реализовать следующую логику: если в письме определяются данные конкретного сотрудника, то это письмо можно пропустить только в двух случаях – либо отправитель сотрудник отдела кадров, а фактический получатель совпадает с e-mail сотрудника, либо фактический отправитель совпадает с e-mail сотрудника. В остальных случаях письмо блокируется. Количество сотрудников во всех подразделениях компании более 20 000, и с помощью инструмента контекстного анализа InfoWatch Traffic Monitor на легитимность проверяются несколько десятков тысяч писем ежемесячно. Чего только стоят два зарплатных листка в месяц для каждого сотрудника.

Также наша система умеет выявлять злоупотребление персональными данными или данными клиентов в переписке через мессенджеры, где объем передаваемой информации бывает небольшим, но довольно ценным, защищать каждую порцию персональных данных с учётом их владельцев, а также многие другие полезные штуки. 

Как мы уже упомянули, в текущих реалиях бизнесу важно ещё лучше понимать не только своих сотрудников, но и потенциальных внутренних нарушителей (контрагенты, бывшие сотрудники, подрядчики итп.) . И здесь роль играют два фактора: первый — в центре любой организации (в тч и у подрядчиков) находится сотрудник со всеми его характеристиками, ценностями, возможными выгораниями и прочими HR-показателями, а второй — тот факт, что  утечки по вине  внутренних  нарушителей никуда не делись, при этом 90% из них  носит умышленный характер.

Однако за последние 2–3 года всё изменилось настолько, что концепции защиты информации, актуальные ещё 5 лет назад, не помогают бизнесу выжить в суровой реальности. Если ранее применение средств для мониторинга действий сотрудников могло выглядеть как гиперконтроль, нарушение личных границ и желание закрутить сотрудникам гайки потуже, то сейчас разболтанные гайки — это очень дорого и рискованно. В 2025 году жизнь диктует свои правила: компаниям и организациям нужно соответствовать требованиям регулятора и Указам Президента и обеспечивать должный уровень безопасности. И теперь сбор и контроль данных, а также поведенческий анализ (прописанный, например, в рекомендательных стандартах ЦБ РФ)  — уже не чья-то прихоть, а осознанная необходимость, а мы как вендор ищем ответы на новые запросы госсектора и бизнеса. 

Для этого мы системно ведём научно-исследовательскую работу, расширяем наш продуктовый инструментарий и разрабатываем более эффективные методики его применения, используем последние технологии компьютерного зрения, ИИ, в том числе генеративного, продвинутого анализа с машинным обучением, чтобы не просто собирать данные, а интерпретировать их, извлекая для офицера ИБ самое важное. Этот предварительный анализ позволяет офицеру работать на уровне принятия решений и отойти от функции оператора по перебору событий. 

Мы разработали и внедрили технологию, которая анализирует и формирует целостную и наглядную картину действий сотрудника за компьютером, применяя  новые ИИ-подходы и технологии компьютерного зрения. Это решение автоматически создает подробную и осмысленную «картину рабочего дня» сотрудника компании, используя данные из DLP-системы, и тем самым выявляет инциденты, труднодоступные при ручном анализе данных. 

Технология полезна там, где четкие политики безопасности бессильны, и требуется взглянуть на рабочий процесс глазами «проницательного контроллера». Здесь главное не только собрать информацию и оформить ее в отчеты, но и посмотреть отклонения, которые сложно зарегулировать политиками безопасности и тяжело обнаружить, особенно в крупной организации. Анализ на базе компьютерного зрения помогает не только ИБ-шнику, но и СБ, ЭБ, менеджементу, кадрам извлечь релевантную им информацию и продвинуться в принятии своих решений гораздо быстрее по сравнению с обычным инструментарием. 

Также мы продолжаем работу над «Младшим аналитиком» — это NLP-решение, которое находит ответ на вопрос пользователя, заданный в «человеческой форме», на основе всего массива данных об ИБ-событиях, инцидентах, правах доступа, действиях сотрудников и многом другом. Решение позволяет общаться с DLP-системой в обычном диалоговом режиме, избегая сложных запросов на фильтрацию,  и тем самым позволяет “дотянуться” до данных не только специально обученным операторам DLP. Этот функционал заметно снижает порог входа для новых аудиторий (руководители, ЭБ, кадры итд) и в то же время разграничивает доступ к данным между этими группами сотрудников, выдавая информацию, релевантную только каждой конкретной группе.

У InfoWatch Activity Monitor появилась возможность определять наличие разговоров с эмоциональной окраской в аудиозаписях — это помогает выявлять возможные конфликты. Дополнительные возможности также скоро получат модули InfoWatch Vision и Prediction. Обновленный Vision будет в буквальном смысле визуализировать маршруты движения файлов в компании, исследуя весь «жизненный цикл» документа. В новой версии модуля по выявлению рисков Prediction появится тонкая настройка под специфику заказчика — управление составом и принципами работы групп риска.

Продолжаем расширять область применения DLP. Так, например, с помощью DLP можно решать одну из проблем парольной политики. По открытым данным, за 2025 год  более половины успешных кибератак начиналась с скомпрометированного пароля пользователей. Один из распространенных вариантов - компрометация часто происходит из-за совпадения служебного пароля с личным, по которому пользователь авторизуется на внешних ресурсах (соцсети, доставка еды, маркетплейсы). При взломе таких ресурсов к злоумышленникам попадают ПДн и личные пароли, а дальше злоумышленникам остается только установить место работы и формат учетной записи, что часто легко сделать, вооружившись знаниями из открытых источников или с помощью ИИ.  Поэтому целесообразно с помощью DLP сравнивать хэши паролей, перехваченных при переходе на личные ресурсы, с хэшами служебных паролей, и при обнаружении совпадений, сигнализировать об этом. И, конечно, в правилах пользования корпоративной компьютерной сетью  должен быть прописан запрет на использование личного пароля для корпоративных ресурсов. 

Кроме того, мы рекомендуем использовать имеющийся функционал Traffic Monitor для проверки входящих архивов на наличие самораспаковывающихся файлов, где могут затаиться вредоносы. Антивирусы не всегда различают их (в том числе и потому, что это может быть свежий самописный батник, сигнатуры которого ещё не успели разлететься по профильным базам), но наша DLP такое отлавливает.

Так, например, и в прошлом и в этом году происходили массовые атаки на предприятия ОПК с помощью фишинговых писем с прикрепленным архивом, содержащим, кроме фейкового документа, самораспаковывающийся вредонос. 

В контексте данных и людей не можем обойти вниманием одно из наших постоянных направлений развития — способы сокрытия информации, поскольку злоумышленники постоянно пытаются освоить всё новые способы ее «угона». Мы говорим про стеганографические методы, которые уже давно известны, их изучают, обсуждают и, конечно же, активно используют. 

Стеганография — передача или хранение информации с сохранением в тайне самого факта такой передачи (хранения). Классическим примером такой передачи являются файлы, содержащие замаскированные вредоносные исполняемые программы. В контексте утечек конфиденциальной информации под стеганографическими методами надо понимать замаскированную передачу конфиденциальной информации внутри файла.

Это наш паровой каток, которым мы уже раскатали целый комплекс мер противодействия разным методам и способам стеганографии. И этот комплекс продолжает планомерно пополняться и развиваться. Так, например, одним из способов стеганографии является передача конфиденциальной информации в файле формата Word в виде непримененных исправлений и примечаний^. В отличие от многих других DLP-систем, выявляющих только факт пересылки файла с непримененными исправлениями, InfoWatch Traffic Monitor анализирует в пересылаемых и хранящихся файлах тексты непримененных исправлений и комментариев на наличие в них конфиденциальной информации. При этом можно игнорировать малозначительные непримененные исправления — например, форматирование или лишние пробелы.

А ещё мы научили нашу DLP автоматически выявлять ещё один способ стеганографии — «склейку» файлов, о чём рассказали в этой статье. 

Но просто выявить факт «склейки» файлов недостаточно, поэтому TM извлекает из «склейки» текст и проверяет его на наличие конфиденциальной информации, тем самым экономя время и усилия офицеров безопасности.

В 2025 году мы получили рекордное количество патентов на наши технологии (5 штук и шестой на подходе), а также вошли в число победителей конкурса «Успешный патент», который проводит Роспатент, с изобретением «Способ потоковой кластеризации данных». И заняли первое место в ИБ-номинации конкурса CIPR Digital с проектом по внедрению решения для защиты данных в инфраструктуре промышленного предприятия на основе способа автоматического анализа выгрузок из баз данных (который, кстати, тоже запатентован).

Обновления 2025 в ARMA — линейке промышленных решений

InfoWatch ARMA Стена (NGFW) сертифицирован ФСТЭК России

Сертификация — это чистейшее веселье с лавированием между требованиями бизнеса к скорости, требованиями регулятора к безопасности и требованиями лаборатории к документации. Основное, что требуется при сертификации — терпение и умение доносить свою позицию до всех участников цепочки. Не стоит бояться сходить во ФСТЭК и уточнить про корректность используемого подхода — это позволяет значительно сократить количество доработок как ПМИ, так и итогового комплекта документации.

Вообще, это путь, достойный самурая полноценной статьи со всеми подробностями, и мы постараемся её написать, не откладывая в долгий ящик.

Но главное — результат. Наш межсетевой экран InfoWatch ARMA Стена (NGFW) прошел сертификационные испытания во ФСТЭК и получил сертификат соответствия по четвертому уровню доверия. Сертификация подтверждает, что решение отвечает требованиям ФСТЭК России к межсетевым экранам типа «Б» и «Д» 4 класса, а также к средствам обнаружения вторжений 4 класса защиты, а значит — может применяться на объектах критических информационных инфраструктур и использоваться в системах, работающих с конфиденциальной информацией и персональными данными.

Разбор новых промышленных протоколов: Alpha.Link, СПОДЭС 

На сегодня наш МСЭ единственный на рынке поддерживает 17 промышленных протоколов, включая отечественные Alpha Link и СПОДЭС. Благодаря глубокому разбору протокола Alpha.Link (внутреннего протокола SCADA-системы «Альфа платформа» от Атомик Софт) можно на уровне команд блокировать или уведомлять о нежелательных действиях в сети, а также избежать несанкционированного доступа к производственной информации.

Глубокая инспекция протокола СПОДЭС (DLMS / COSEM) позволяет обеспечить безопасность каналов передачи данных и систем диспетчеризации и защитить, например, каналы сбора информации с приборов учёта энергии. 

Импорт индикаторов компрометации от ФСТЭК 

Научили продукт автоматизировать настройку правил выявления угроз, снизив вероятность ошибок. Теперь индикаторы из писем ФСТЭК можно быстро импортировать без необходимости вводить их вручную. 

Работа через веб-интерфейс

Теперь множество настроек доступны прямо из графического интерфейса и взаимодействие с продуктом больше не требует сложных манипуляций с командной строкой CLI, которая, несомненно, является удобной для истинных фанатов сетевых настроек. Порог входа для пользователей снижен, администрировать его теперь куда удобнее и проще, что особенно важно в современных реалиях нехватки кадров.

Массовая настройка МСЭ и эндпоинтов и объединение их в группы

Стало возможным групповое управление InfoWatch ARMA Industrial Endpoint (Linux). Теперь можно загружать и скачивать конфигурационные файлы для одной или нескольких рабочих станций одновременно. Также появился удалённый перезапуск InfoWatch ARMA Industrial Endpoint без необходимости прямого доступа к рабочим станциям.

Управлять парком решений InfoWatch ARMA стало ещё удобнее через единую консоль управления ARMA Management Console. Теперь можно централизованно управлять средствами защиты рабочих станций и серверов InfoWatch ARMA Industrial Endpoint (как под управлением ОС Windows, так и под Linux), промышленными и корпоративными межсетевыми экранами ARMA Industrial Firewall и ARMA СТЕНА (NGFW). При этом обеспечивается не только возможность контроля состояний и событий на подключенных к Management Console решениях, но и удалённая настройка поведения межсетевых экранов нового поколения и Endpoint-узлов.